좀비 PC

 


Zombie computer.
악성코드에 감염되어 해커의 공격에 사용되는 감염PC를 뜻 한다. 다른 말로는 봇(bot)이라고 한다.
1. 상세
2. 대처법
2.1. 잘못된 확인법
3. 기타


1. 상세


악성코드에 감염되었지만 피해자가 이를 인지하지 못한 채 해커의 공격에 사용되는 PC를 말한다. 해커들은 더 많은 좀비 PC를 만들기 위해 , 컴퓨터 바이러스, 트로이 목마 등 다양한 악성코드를 동원한다.
악성코드에 감염되어 좀비가 된 컴퓨터는 해커의 명령에 따라 분산 서비스 거부 공격이나 스팸 메일 전송 등 많은 정보 처리 능력이 필요한 공격들에 동원되며[1], 필요하면 악성코드에 개인정보 탈취나 키로그, 도청, 카메라 제어[2] 등을 추가해 돈을 더 긁어모으기도 하고 증거를 지우기 위해 좀비 측의 '''시스템을 파괴'''하기도 한다.
최근에는 감염 PC를 비트코인 채굴에 이용하기도 한다.

2. 대처법


악성코드 문서 참조.

2.1. 잘못된 확인법


인터넷에서 명령 프롬프트의 NETSTAT -n명령어를 이용한[3] 좀비PC 확인 방법이 소개되고 있는데 이는 잘못된 방법이다.
netstat 명령어는 네트워크 상태와 관련정보[4]를 확인하는 프로그램이며 컴퓨터와 연결된 아이피와 포트 정보 만을 가지고는 좀비PC 감염 여부를 알아보기 어렵다.
그런데도 왜 이 방법이 인터넷에서 소개되는 것이라면 예전 대규모 공격에서 사용된 봇넷 포트가 8080이였기 때문이었다.

3. 기타


  • 네이버 블로그 사용자 중 서로이웃의 컴퓨터에 복수하는 용도로 좀비PC로 감염시키는 해킹툴을 만들었음에도 놀랍게도 이슈화되지 않고 여전히 배포하고 있다.
  • 2018년 말부터 지난해 11월까지 전국의 PC방 컴퓨터 21만대를 좀비 PC로 감염시켜 네이버 검색어 조작에 이용한 일당이 적발되었다. #
  • 고교생 6명이 좀비 PC 6천대를 만들고 해킹을 대신해 주며 돈을 벌다 그만 경찰에 붙잡혔다. #



[1] 많은 정보 처리가 필요한 이유도 있겠지만, 자신을 추적하지 못하게 은폐할 수 있다. DDOS 공격을 가하면 감염 PC의 IP로 나오기 때문[2] 노트북의 경우 기본적으로 카메라가 달려있기 때문에, 카메라를 통해 피해자의 얼굴을 볼 수 있다. 따라서 피해자가 어디로 가서 없을 때 원격 조종하여, 공인 인증서 등을 탈취하기도 한다.[3] 포트가 8080이면 좀비PC라고 한다[4] 해더, 등